Amesys, Qosmos, la Libye, et le mystérieux vendeur de routeurs

Dans le document audio que nous avons publié hier soir, il y a quand même pas mal de choses qui ont éveillé notre curiosité. Eric Horlait est venu s’expliquer devant les chercheurs du LIP6, dont la société Qosmos est une émanation assez directe. Les chercheurs s’interrogeaient sur la présence en Libye de documentations commerciales d’Amesys contenant des correspondances privées des chercheurs du laboratoire. Reflets avait également relevé de biens étranges captures d’écran semblant montrer que des écoutes probablement sauvages de GSM avaient été réalisées et servaient, comme les correspondances des chercheurs, à agrémenter la proposition commerciale d’Amesys. Nous vous avons donc extraits quelques citations qui ne sont pas dénuées d’intérêts :

A propos de la nature de l’activité de Qosmos 

« Le marché sur lequel vit Qosmos est celui de l’interception légale »

« et il y a certainement des pays où malheureusement notre technologie est utilisée et où le niveau de démocratie est probablement dans l’esprit de chacun d’entre nous tout à fait insuffisant »

Le flicage de masse, ça rapporte 

« les brevets qui tournent autour de ces technologies sont parmi les rares brevets de l’université qui ont rapporté  à l’Université de l’argent »

Qosmos et Médiamétrie 

« une technologie qui permet de savoir ce que regarde les gens »

L’invité mystère

« il y a un fabriquant de routeurs dont le nom apparait pas moi je sais qui c’est qui a vendu les equipements à la libye dans ces equipements de routeur ce fabriquant (…)qui est pas loin d’etre une grande société française aussi (…) a mis les équipements de la société Amesys dont le but était d’écouter ce qu’il se passe, avec des mots clés etc … »

Ne pas faire de vagues

« ce genre de marché a une petit spécifité, moins on parle des acteurs plus on est content »

Fadettes level3

« j’ai travaillé chez un operateur de téléphonie mobile, il y a 2 personnes à temps plein pour répondre aux demandes de police sur de l’analyse de trafic (…). Niveau 1 c’est à qui appartient ce téléphone ? Niveau 2 ou était cette personne à un instant. Niveau 3 c’est les fadettes. »

Au travail, tes correspondances ne sont pas privées

« là on touche à un autre domaine, au droit du travail et là les gens n’ont pas à donner leur accord »

« Est-ce que ça autorise que tu écoutes des mails de collègues ? »

On vous écoute massivement… mais on vous anonymise

« Qosmos continue à faire des analyses de trafic bien évidemment pour faire la mise au point de ces technologies mais avec des outils d’anonymisation (..) jugés conformes par la législation et par les autorités françaises »

La recherche, tu l’aimes ou tu te casses

« pensez un peu à Oppenheimer (..) Si vous ne voulez pas que vos technologies servent à des choses que vous ne maitrisez pas il ne faut pas travailler dans une université ou une entreprise, ou il ne faut pas être créatif »

 

 

Twitter Facebook Google Plus email

19 thoughts on “Amesys, Qosmos, la Libye, et le mystérieux vendeur de routeurs”

  1. Vous êtes un peu de mauvaise foi quand vous écrivez « Les brevets sur le flicage de masse, ça rapporte ». Dans les faits, il semble que le brevet de Qosmos qui a rapporté des sous a l’université est un brevet sur l’analyse de trafic pour la QoS. Après, l’interception légale rapporte effectivement des sous, sinon, il n’y aurait pas autant de sociétés dans le domaine. :)

    Je trouve son intervention globalement plutôt carrée a l’exception de deux points qui me tracassent.

    Le premier concerne les fameuses captures d’écrans. Mr Horlait explique que Qosmos n’a pas eu le marché avec Amesys car leur matériel n’était pas assez rapide (10Mbit/s contre 1Gbit/s et plus voulu) et car leur solution ne permettait pas d’analyser les emails. Or, les captures d’écrans de manuels Amesys montrent des emails analysés. La question est donc : comment est-ce possible ?
    La première solution est que le système de Qosmos permettait en fait de regarder les mails. Mais je pense que ce n’est pas le cas, car a l’époque, je pense que Qosmos faisait de l’analyse de trafic pour la QoS, ce qui ne nécessite pas de connaître le contenu des emails.
    La deuxième possibilité est qu’Amesys a eu accès aux traces de Qosmos. Ce qui est problématique car on sort du cadre de ce que vous appelez « Au travail, tes correspondances ne sont pas privées ».
    Il est aussi possible que j’ai raté une explication du fait de la qualité sonore plutôt moyenne.

    Le second point concerne la problématique de l’écoute du trafic par l’entreprise dans le cas de Qosmos et du LIP6. Ici, le but de l’analyse du trafic n’est pas d’empêcher les comportements illégaux au sein de l’entreprise/institution (ce qui correspondrait a une façon, pour l’entreprise, d’empêcher les comportements illégaux de ses employés). Dans ce cas particulier, l’écoute semble être a but commercial et je ne sais pas ou est-ce que ça se situe dans la législation.

    1. Monsieur Horlait explique très bien le coeur de business de Qosmos « Le marché sur lequel vit Qosmos est celui de l’interception légale ». Le QoS ça ne faisait pas assez de fric, c’est donc une utilisation differente de ses recherches vers laquelle Qosmos s’est orienté, je ne pense pas qu’il s’agisse de mauvaise foi, c’est assez clairement expliqué, et même renchéri plus loin avec des questions ouvertes sur le degré de déontologie à bien vouloir accorder à sa profession :  » est ce que c’est une raison suffisante pour ne pas développer cette société ?  »

      « Après, l’interception légale rapporte effectivement des sous, sinon, il n’y aurait pas autant de sociétés dans le domaine. »

      Oui c’est comme la cocaine, si ça rapportait pas, il n’y aurait pas de dealer. Nous sommes parfaitement d’accord.
      Comprenez bien que Qosmos, l’été dernier, vendait au régime de Bachar El Assad ses sondes via Area SPA. Il semblerait que nos travaux sur Bluecoat leur ai rappelé la signification du mot déontologie.

      Il faut sinon reconnaitre à Monsieur Horlait, en dehors des deux points de vous soulignez justement, de moins pratiquer la langue de bois que monsieur Bechetoile. Et plus j’en apprends, plus je me rends compte que ce dernier nous a vraiment pris pour des cons :

      cf son interview en vidéo ici :
      http://reflets.info/deep-packet-inspection-qosmos-techtoctv/

      1. En fait, ce qui me gène, c’est la formule « Les brevets sur le flicage de masse, ça rapporte » compte tenu du fait que le brevet en question était lié à la QoS. Vous auriez écrit « Le flicage de masse, ça rapporte » ça ne m’aurait pas gêné.

        Je viens de reregarder la vidéo avec le PDG de Qosmos et il faut dire que Mister Epelboin est quand même super direct. Mr Bechetoile reste quand même super stoïque. Et il faut dire qu’il esquive bien toutes les questions ou reste au moins suffisamment ambigu pour ne pas répondre directement.
        Si on reprends l’article de Bloomberg de début novembre 2011, il dit le conseil d’administration a décidé de sortir de Syrie il y a 4 semaines, ça porte donc à début octobre. A mon avis, ils étaient au courant depuis bien avant vu que la mise en place s’est faite en 2011 et que du coup, l’intégration a du commencer bien avant.

        1. Parfaitement Ok avec vous l’utilisation du mot brevet, je l’ai modifié, merci de votre attention.

          Concernant le dispositif en Syrie, mes recherches indiquent qu’il a été activé en Août. Qosmos dit que sa brique n’est pas en place et ne peut fonctionner en l’état, en revanche les NetApp et les BlueCoat sont eux bien en place.

          On ne saura probablement jamais si les briques d’Utimaco et Qosmos sont opérationnelles ou non. Elles agissent fde manière passive sur le réseau et nous ne pouvons donc pas les détecter.

          Nous n’avons cependant pas dit notre dernier et nous avons collecté beaucoup d’autres informations en examinant l’architecture de la SCS-Net.

          cf : http://reflets.info/opsyria-s04e02-the-iron-strike-investigation-now-open-for-fun-and-profit/

          1. En fait, l’aspect brevet Qosmos est ambigu. Le brevet rapporte des sous juste parce que Qosmos est gentil. Mais d’un autre cote, d’après Mr Horlait, ils se seraient sûrement pas lancés dans l’interception légale s’ils avaient pas eu ce brevet. Du coup, ne pas le mettre dans le chapeau de la citation mais le mettre dans la citation elle-même, c’est un bon compromis je pense. :)

            Ultimaco produit les briques pour le stockage/accès (i.e. la base de données), non ?

            Mon commentaire sur les délais c’était pour dire que Mr Bechetoile était certainement au courant du travail de Area Spa en Syrie au moment de l’interview.

            Note d’ordre général : ça serait mieux de pouvoir citer les messages et de ne pas avoir de décalages dégueulasses. :)

  2. Comme je te le disais cette nuit, j’arrive pas à voir ce qui te gène dans le fait qu’un laboratoire de recherche travaille sur une techno qui est utilisée à des fins plus que contestables. Cela dit, ma copine a exactement la même réaction que toi, ce qui montre que ce n’est pas si évident que ça.

    En tant que chercheur, je sais pertinemment que ce sur quoi je bosse sera un jour utilisé pour faire un truc pas bien. Je fais largement confiance à la bande de dérangés du cerveau pour trouver un moyen de détourner n’importe quel travail de recherche en moyen de tuer quelqu’un. D’ailleurs, j’entrevois déjà comment. Est-ce que ça va m’empêcher de continuer à bosser sur le sujet, certainement que non. Il y a à ça un très grosse raison.

    La science est neutre (comme le net). Le côté génial du modèle scientifique, c’est d’abstraire un problème donné de son cas concret et de travailler sur ce cas abstrait. Je vais prendre un exemple : Quand Galilée à trouvé que la chute d’un corps pouvait se modéliser par une équation quadratique, la première application qui dû voir le jour, c’est probablement de la balistique puor des canons. Je suis sûr qu’il en avait l’idée lui-même. Est-ce que ça fait de lui un salaud ?

    On peut toujours trouver une application malsaine de ce qui était au départ de la recherche. Le nucléaire, pour faire des bombes, c’est nul ou est tous (ou presque) d’accord, mais pour la radiothérapie qui soigne le cancer, c’est plutôt pas mal. Les OGM pour faire des plantes stériles à la Monsanto, c’est juste démentiellement con, mais pour faire des médicaments, c’est plutôt pas mal. La reconnaissance dans des flux video, pour faire des voitures autonomes, c’est plutôt top, mais pour faire de la video-surveillance, c’est à chier. L’analyse de contenus réseau, pour faire passer la voip devant le mail, ça peut être pas mal, mais pour tuer les dissidents tunisiens, c’est merdique.

    Ce n’est pas au chercheur de fixer ce qui est bien ou pas bien, ni de borner son travail de recherche, ce serait hyper arbitraire. C’est au législateur. Si tu penses qu’on devrait pas faire de l’analyse de contenu dans une dictature (et on est sans doute tous d’accord là-dessus), et bien c’est au législateur de l’interdire, de faire une loi qui encadre ou restreint l’utilisation de ce type de techno. C’est lui le seul qui peut justifier une décision sur ce sujet. Si vous voulez que ce genre de chose ne se reproduisent pas, allez téléphoner à vos députés et votez pour des gens qui partagent vos idées sur le sujet.

    Tu vas me dire, à partir du moment où tu sais que ta techno est utilisée à des fins mauvaises tu peux aussi arrêter de bosser dessus. Mais dans ce cas, comme il dit, tu peux arrêter de bosser tout court. Le mineur chilien dans une mine de souffre qui découvre qu’on fabrique des armes avec son souffre, il peut arrêter de bosser. Dans n’importe quel boulot, tu peux arrêter de bosser, parce que tôt ou tard, il y aura une utilisation abusive de ce que tu fais. Ou alors, c’est la politique de l’autruche : tant que je sais pas, ça va, mais dès que je sais, faut que je change. Absurde. La seule solution juste, là encore, c’est la législation. Encore une fois, la responsabilité sur ce qu’on a le droit de faire ou pas, elle est collective, pas individuelle.

    1. Ce qui me dérange ?

      1° c’est que monsieur Bechetoile nous a quand même bien endormi
      2° c’est qu’en Août dernier on retrouve Qosmos en train de vendre des sondes à Bachar El Assad
      3° c’est que le viol des correspondances privées devienne une norme qui ne choque personne
      4° ce n’est pas le chercheur qui me dérange, c’est le choix assumé du business du flicage de masse et la mise dans la poche de la déontologie la plus élémentaire

    2. Je suis peut-être à côté du sujet, je sais pas trop. Cette histoire de la neutralité des technologies, de la science, tout ça… j’arrive pas à en conclure grand chose. C’est vrai qu’un tournevis, c’est neutre. Ça a été conçu pour visser et dévisser, mais voilà, y a des créatifs qui s’en servent pour tuer.
      C’est un fait.
      Du coup, je pense à ce texte de Murakami, dont le titre est « rêveurs irréalistes », qui disait que dans le Japon post 11 mars 2011, le plus difficile, ce ne sera pas de reconstruire les routes, les bâtiments, etc., mais bien de reconstruire l’éthique et la morale. Et ce jugement, je crois bien qu’il n’est pas propre au Japon.
      Ce qui pose bien des questions et des problèmes. C’est facile de dire « l’éthique et la morale », mais ça ne résout en fait pas grand chose. Y pas vraiment de légitimité qui va de soit en ce bas monde qu’est le seul plus ou moins certain. Reste que des règles de vie en commun, des limites… ça ne semble pas inutile.

    3. « Dans n’importe quel boulot, tu peux arrêter de bosser, parce que tôt ou tard, il y aura une utilisation abusive de ce que tu fais. »
      Faux : pas n’importe, mais dans certain.
      « Encore une fois, la responsabilité sur ce qu’on a le droit de faire ou pas, elle est collective, pas individuelle. »
      Faux, je ne développe pas je risque le point de blocage vous savez celui en or dans le vent.

  3. D’après ce que j’ai compris, le brevet du LIP6 d’origine est sur l’analyse des fluxs pour la QoS. I.e. donner la priorité a certain fluxs qui ont des contraintes spéciales (latence pour la VoIP par exemple) d’autres flux qui ont des contraintes différentes (P2P, FTP qui ne nécessitent que du débit pur). C’est pas super orienté.
    Après, ça c’est un peu l’application bisounours. C’est aussi utilisé pour faire des trucs plus limite sur la 3G par exemple.
    En soit, on peut donc le considérer comme un forme d’atteinte a la neutralité des réseaux.

  4. Bonjour et encore un grand bravo pour votre travail d’investigation.Je me permet de vous rappeler les travers du principe de « Responsable mais non coupable » et de des-implication qu’amène les nouvelles technologies (Je fait un parallèle avec le problème des « Drones » ou l’opérateur a plus l’impression de jouer a un jeux vidéo que d’utiliser des armes létales ).La société actuel avec ses nombreux sous-traitant et intermédiaires dilue les responsabilités et facilite le désengagement des principaux responsables (Je ne serais pas étonné que les plus impliqués ne se couvrent via dépôt de plaintes a différends niveaux (Déclencher un feux de Foret en couverture et une méthode qui leur est cher quitte a retirer leur plainte la veille du passage au tribunal (CUGN de Nancy qui avait déposée une plainte pour « Sabotage » suite a de nombreux problèmes technique sur le « Tram sur pneu bi-mode » inauguré par Mm Bernadette Chirac et fabriqué par « Bombardier » entreprise Canadienne ) ce faisant empêchant toute autres dépôt de plainte ).Donc qui vas saisir la justice en premier ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *